Cifrado de todo el disco. ¿Cómo se puede cifrar el kernel?

3

Un error estándar del cifrado de disco en Linux es la necesidad de / boot sin cifrar. Específicamente el bootloader y initrd. Encriptar todo el disco significa colocarlos en otro lugar, por ejemplo, en una memoria USB.

editar: ahora he aprendido que grub ahora puede descifrar un sistema de archivos que contiene el kernel en el arranque, por lo que solo el cargador de arranque debe estar sin cifrar bajo Linux

Tengo la impresión de que es "conocido" que FileVault implementa todo el cifrado del disco. Ciertamente creí que este era el caso. Esto es un poco difícil de demostrar sin un montón de enlaces a sitios externos. Un par de internas:

brute-force-on-whole-disk-encryption y todo el disco-cifrado-con-solo-a-ventanas-solo bootcamp

Y una pregunta existente que responde esencialmente a esta pregunta. is-file-vault-2- cifrado de todo el disco o cifrado de toda la partición

Parece bastante claro que la bóveda de archivos funciona en la granularidad de la partición y que Apple usa una partición de arranque separada. No puedo encontrar ninguna evidencia que sugiera que la bóveda de archivos se puede usar en la partición de inicio.

No entiendo cómo puede arrancar hasta el punto de ofrecer un aviso de inicio de sesión si todo el disco está cifrado. ¿Qué me estoy perdiendo?

Como referencia, el sistema que me interesa es usar apfs en lugar de cs y no tiene un chip T2.

    
pregunta Jon Chesterfield 20.07.2018 - 14:09

2 respuestas

4

La partición de inicio no necesita estar en un stick, también puede estar en la unidad ( Boot OS X ):

pse@Mithos:~$ diskutil list
/dev/disk0 (internal, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *121.3 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage Macintosh HD            121.0 GB   disk0s2
   3:                 Apple_Boot Boot OS X               134.2 MB   disk0s3

/dev/disk1 (internal, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *1.0 TB     disk1
   1:                        EFI EFI                     209.7 MB   disk1s1
   2:          Apple_CoreStorage Macintosh HD            999.3 GB   disk1s2
   3:                 Apple_Boot Recovery HD             650.1 MB   disk1s3

/dev/disk2 (internal, virtual):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh HD           +1.1 TB     disk2
                                 Logical Volume on disk0s2, disk1s2
                                 559BC36D-E609-490D-8DDA-7C6F344DBB9B
                                 Unlocked Encrypted Fusion Drive
    
respondido por el nohillside 20.07.2018 - 14:13
4

En el nivel más básico, Apple controla el firmware y almacena la información mínima absoluta necesaria para presentar la ilusión de que un sistema operativo se está ejecutando en la pantalla de inicio de sesión de preinicio cuando FileVault está habilitado.

Esto está ampliamente documentado por Apple:

  • enlace : certificaciones de seguridad de productos, validaciones y orientación para macOS
  • enlace : use FileVault para cifrar el disco de inicio en su Mac
  • enlace : computadoras Mac que tienen el chip T2

Antes del chip T2, que sirve como una especie de módulo confiable para autenticar si el sistema operativo que se está iniciando está correctamente firmado / encriptado y / o no se ha manipulado, esta información de arranque previo se puede almacenar en la NVRAM y en el EFI. / recovery HD que no se encripta con una clave que necesita una contraseña / contraseña de usuario para desbloquear el almacenamiento principal.

Cuando cambia el fondo o los usuarios que pueden desbloquear FileVault: estos datos almacenados en caché se guardan fuera de la parte encriptada del disco, por lo que se nos muestran los iconos y la pantalla de inicio de sesión gráfico. Cuando veo que Apple dice que el disco de inicio está encriptado, entiendo que significa el volumen lógico Macintosh HD que solo almacena todos los datos del usuario y todo el sistema operativo, pero no el firmware y los datos previos al arranque. (a excepción del hardware habilitado para el chip T2, que son casos especiales y todavía no es la norma)

Puede confirmar esto con una recomendación a continuación, según si su sistema operativo es compatible con los contenedores APFS y APFS, que es el nuevo estándar para volúmenes y cifrado o los contenedores HFS + y Core Storage.

diskutil cs list
diskutil apfs list

El otro cambio emocionante que está en curso en relación con el chip T2 en el nuevo MacBook Pro y el iMac Pro es que puede imponer el cifrado en el almacenamiento interno, ya sea que alguien tome el segundo paso del cifrado de FileVault. Específicamente, generará una clave de cifrado y comenzará a cifrar todos los datos antes de que se cree la cuenta de usuario. Un SSD de cualquiera de estos no será legible si se lleva a otra computadora ya sea que la computadora tenga un chip T2 o no. Las claves necesarias para descifrar la unidad completa se almacenan únicamente en el Enclave seguro.

    
respondido por el bmike 20.07.2018 - 18:34

Lea otras preguntas en las etiquetas